Configuración de la carga de registros automática con Docker en Azure
En este artículo se describe cómo configurar las cargas automáticas de registros para informes continuos en Defender for Cloud Apps mediante un Docker en Ubuntu o CentOS en Azure.
Requisitos previos
Antes de comenzar, asegúrese de que su entorno cumple los requisitos siguientes:
Requisito | Descripción |
---|---|
SISTEMA OPERATIVO | Uno de los siguientes: - Ubuntu 14.04, 16.04, 18.04, y 20.04 - CentOS 7.2 o superior |
Espacio en disco | 250 GB |
Núcleos de CPU | 2 |
Arquitectura de CPU | Intel 64 y AMD 64 |
RAM | 4 GB |
Configuración de firewall | Tal como se define en Requisitos de red |
Planificación de los recopiladores de registros por rendimiento
Cada recopilador de registros puede gestionar con éxito una capacidad de registro de hasta 50 GB por hora compuesta por hasta 10 fuentes de datos. Los principales cuellos de botella del proceso de recopilación de registros son:
Ancho de banda de red: el ancho de banda de red determina la velocidad de carga de registros.
Rendimiento de E/S de la máquina virtual: determina la velocidad a la que se escriben los registros en el disco del recopilador de registros. El recopilador de registros tiene un mecanismo de seguridad integrado que supervisa la velocidad a la que llegan los registros y la compara con la velocidad de carga. En caso de congestión, el recopilador de registros comienza a quitar archivos de registro. Si la configuración normalmente supera los 50 GB por hora, se recomienda dividir el tráfico entre varios recopiladores de registros.
Si necesita más de 10 orígenes de datos, se recomienda dividirlos entre varios recopiladores de registros.
Definición de los orígenes de datos
En el portal de Microsoft Defender, seleccione Configuración > Cloud Apps > Cloud Discovery > Carga automática de registros.
En la pestaña Orígenes de datos, cree un origen de datos coincidente para cada firewall o servidor proxy desde el que quiera cargar registros:
Seleccione Add data source(Agregar origen de datos).
En el cuadro de diálogo Agregar origen de datos, escriba el nombre del origen de datos y, a continuación, seleccione el origen y el tipo de receptor.
Antes de seleccionar un origen, seleccione Ver ejemplo de archivo de registro esperado y compare el registro con el formato esperado. Si el formato de archivo del registro no coincide con este ejemplo, agregue el origen de datos como Otro.
Para trabajar con un dispositivo de red que no aparece en la lista, seleccione Otro > Formato de registro de cliente u Otro (solo manual). Para obtener más información, consulte Trabajo con el analizador de registros personalizado.
Nota:
La integración con protocolos de transferencia segura (FTPS y Syslog – TLS) a menudo requiere una configuración adicional o firewall/proxy.
Repita este proceso para cada servidor proxy y firewall cuyos registros se puedan usar para detectar tráfico en la red.
Se recomienda configurar un origen de datos dedicado por dispositivo de red, lo que le permite supervisar el estado de cada dispositivo por separado con fines de investigación y explorar Shadow IT Discovery por dispositivo si cada dispositivo lo usa un segmento de usuario diferente.
Creación de un recopilador de registros
En el portal de Microsoft Defender, seleccione Configuración > Cloud Apps > Cloud Discovery > Carga automática de registros.
En la pestaña Recopiladores de registros, seleccione Agregar recopilador de registros.
En el cuadro de diálogo Crear recopilador de registros, especifique los siguientes detalles:
- Un nombre para el recopilador de registros
- La dirección IP de host, que es la dirección IP privada de la máquina que se va a usar para implementar el Docker. La dirección IP del host también puede reemplazarse por el nombre del equipo si existe un servidor DNS o equivalente para resolver el nombre de host.
A continuación, seleccione el cuadro Orígenes de datos para seleccionar los orígenes de datos que desee conectar al recopilador y seleccione Actualizar para guardar los cambios. Cada recopilador de registros puede administrar varios orígenes de datos.
El cuadro de diálogo Crear recopilador de registros muestra más detalles de implementación, incluido un comando para importar la configuración del recopilador. Por ejemplo:
Seleccione el icono de Copiar situado junto al comando para copiarlo en el portapapeles.
Los detalles que se muestran en el cuadro de diálogo Crear recopilador de registros difieren en función del origen y el tipo de receptor seleccionados. Por ejemplo, si seleccionó Syslog, el cuadro de diálogo incluye detalles sobre el puerto en el que escucha syslog.
Copie el contenido de la pantalla y guárdelo de forma local, ya que lo necesitará al configurar el recopilador de registros para comunicarse con Defender for Cloud Apps.
Seleccione Exportar para exportar la configuración de origen a un archivo .CSV que describe cómo configurar la exportación de registros en los dispositivos.
Sugerencia
Para los usuarios que envían datos de registro a través de FTP por primera vez, se recomienda cambiar la contraseña para el usuario FTP. Para obtener más información, consulte Cambio de la contraseña de FTP.
Implementación de la máquina en Azure
En este procedimiento se describe cómo implementar la máquina con Ubuntu. Los pasos de implementación en otras plataformas son ligeramente diferentes.
Cree una nueva máquina Ubuntu en el entorno Azure.
Cuando la máquina esté en funcionamiento, abra los puertos:
En la vista de la máquina, vaya a Redes y seleccione la interfaz adecuada haciendo doble clic en ella.
Vaya a Grupo de seguridad de red y seleccione el grupo de seguridad de red pertinente.
Vaya a Reglas de seguridad de entrada y haga clic en Agregar.
Agregue las siguientes reglas (en modo Avanzado):
Nombre Intervalos de puertos de destino Protocolo Origen Destination caslogcollector_ftp 21 TCP Your appliance's IP address's subnet
Any caslogcollector_ftp_passive 20000-20099 TCP Your appliance's IP address's subnet
Any caslogcollector_syslogs_tcp 601-700 TCP Your appliance's IP address's subnet
Any caslogcollector_syslogs_udp 514-600 UDP Your appliance's IP address's subnet
Any
Para obtener más información, consulte Trabajo con reglas de seguridad.
Vuelva a la máquina y haga clic en Conectar para abrir un terminal en ella.
Cambie a los privilegios raíz con
sudo -i
.Si acepta los términos de la licencia del software, desinstale las versiones antiguas e instale Docker CE ejecutando los comandos adecuados para su entorno:
Elimine las versiones anteriores de Docker:
yum erase docker docker-engine docker.io
Instale los requisitos previos del motor Docker:
yum install -y yum-utils
Añada el repositorio Docker:
yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo yum makecache
Instale el motor Docker:
yum -y install docker-ce
Inicie Docker
systemctl start docker systemctl enable docker
Pruebe la instalación de Docker:
docker run hello-world
Ejecute el comando que copió anteriormente del cuadro de diálogo Crear recopilador de registros. Por ejemplo:
(echo db3a7c73eb7e91a0db53566c50bab7ed3a755607d90bb348c875825a7d1b2fce) | docker run --name MyLogCollector -p 21:21 -p 20000-20099:20000-20099 -e "PUBLICIP='192.168.1.1'" -e "PROXY=192.168.10.1:8080" -e "CONSOLE=mod244533.us.portal.cloudappsecurity.com" -e "COLLECTOR=MyLogCollector" --security-opt apparmor:unconfined --cap-add=SYS_ADMIN --restart unless-stopped -a stdin -i mcr.microsoft.com/mcas/logcollector starter
Para comprobar si el recopilador de registros se ejecuta correctamente, ejecute el comando siguiente:
Docker logs <collector_name>
. Debe obtener los resultados: Finalizado correctamente.
Configuración de los ajustes locales del dispositivo de red
Configure los firewalls y los servidores proxy de la red de modo que exporten periódicamente los registros al puerto Syslog dedicado del directorio FTP según las instrucciones del cuadro de diálogo. Por ejemplo:
BlueCoat_HQ - Destination path: \<<machine_name>>\BlueCoat_HQ\
Comprobación de la implementación en Defender for Cloud Apps
Compruebe el estado del recopilador en la tabla Recopilador de registros y compruebe que el estado es Conectado. Si es Creado, es posible que la conexión y el análisis del recopilador de registros no se hayan completado.
Por ejemplo:
También puede ir al registro de gobernanza y comprobar que los registros se están cargando periódicamente en el portal.
Como alternativa, puede comprobar el estado del recopilador de registros desde el contenedor de Docker mediante los siguientes comandos:
- Inicie sesión en el contenedor utilizando este comando:
docker exec -it <Container Name> bash
- Compruebe el estado del recopilador de registros mediante este comando:
collector_status -p
Si tiene problemas durante la implementación, consulte Solución de problemas de Cloud Discovery.
Opcional: crear informes continuos personalizados
Compruebe que se cargan los registros de Defender for Cloud Apps y que se generan los informes. Después de la comprobación, cree informes personalizados. Puede crear informes de detección personalizados basados en grupos de usuarios de Microsoft Entra. Por ejemplo, si quiere ver el uso de la nube por parte del departamento de marketing, importe el grupo de marketing mediante la característica para importar grupos de usuarios. Después, cree un informe personalizado para este grupo. También puede personalizar un informe en función de la etiqueta de dirección IP o los intervalos de direcciones IP.
En el portal de Microsoft Defender, seleccione Configuración. A continuación, seleccione Aplicaciones en la nube.
En Cloud Discovery, seleccione Informes continuos.
Haga clic en el botón Crear informe y rellene los campos.
En Filtros, puede filtrar los datos por origen de datos, por grupo de usuarios importados o por etiquetas e intervalos de direcciones IP.
Nota:
Al aplicar filtros en los informes continuos, la selección no se excluye, sino que se incluye. Por ejemplo, si aplica un filtro en un grupo de usuarios determinado, solo se incluirá ese grupo de usuarios en el informe.
Eliminación del recopilador de registros
Si tiene un recopilador de registros existente y desea quitarlo antes de implementarlo de nuevo, o si simplemente desea quitarlo, ejecute los siguientes comandos:
docker stop <collector_name>
docker rm <collector_name>
Pasos siguientes
Si tiene algún problema, estamos aquí para ayudarle. Para obtener ayuda o soporte técnico para el problema del producto, abre una incidencia de soporte técnico.